Tradizionalmente la verifica di conformità data protection viene operata su progetti, prodotti o servizi già definiti. Ciò comporta che l’adeguamento data protection non possa incidere sugli effetti diretti della progettazione degli stessi.
Il combinato dei principi di accountability (art. 24), data protection by design e by default (art. 25) – introdotti dal Regolamento – opera un ribaltamento dell’approccio consueto, imponendo all’azienda ed al gruppo societario di presidiare la conformità alle regole sulla protezione dei dati personali già in fase di progettazione.
Questo è anche il motivo per cui il Regolamento prescriva, in determinate circostanze, l’effettuazione divalutazioni preliminari di impatto (art. 35) nonché l’obbligo di consultazione preventiva del Garante nel caso in cui la precedente valutazione mostri l’esistenza di rischi elevati (art. 36).
Per un gruppo aziendale internazionale questa nuova impostazione richiede un approccio particolarmente innovativo nei processi, nelle procedure nonché nelle job description e mission dei ruoli aziendali coinvolti; presupponendo anche nuove o più assidue forme di collaborazione tra funzioni aziendali per il perseguimento dell’obiettivo di conformità.